Según un informe de Kaspersky, LockBit -el ransomware más utilizado y prolífico a nivel mundial- ha actualizado su operación con funcionalidades multiplataforma, apuntando al secuestro de archivos en computadoras con sistemas macOS. LockBit ganó notoriedad por sus implacables ataques contra empresas alrededor del mundo, incluyendo América Latina. CISA, agencia gubernamental estadounidense, anunció que LockBit ha obtenido ganancias estimadas en $91 millones de dólares como resultado de rescates pagados por empresas víctimas de ataques en ese país durante los últimos tres años. Este contexto refuerza la conclusión del informe de Kaspersky que destaca la determinación del grupo por ampliar su alcance y maximizar el impacto sobre sus víctimas.
En un comienzo, LockBit operaba ataques encubiertos, ejerciendo tácticas de doble extorsión o exfiltración de datos antes de cifrar la información y los sistemas de sus víctimas. Sin embargo, el grupo ha desarrollado continuamente su infraestructura y medidas de seguridad para proteger sus activos frente a diversas amenazas, incluidos los ataques a sus sistemas afiliados y los ataques distribuidos de denegación de servicio (DDoS).
La comunidad de ciberseguridad ha observado que LockBit está adoptando el código de otros grupos de ransomware como BlackMatter y DarkSide. Esta táctica estratégica, además de simplificar las operaciones para posibles afiliados, amplía la posibilidad de iniciar una infección de LockBit. De hecho, hallazgos recientes del Threat Attribution Engine (KTAE) señalan que LockBit ha incorporado aproximadamente el 25% del código utilizado por la desaparecida banda de ransomware Conti, resultando en una nueva variante conocida como LockBit Green.
Los investigadores de Kaspersky descubrieron un archivo ZIP que contiene muestras de LockBit diseñadas específicamente para múltiples arquitecturas, incluidas Apple M1, ARM v6, ARM v7, FreeBSD y más. Tras un análisis e investigación exhaustivos con KTAE, se confirmó que estas muestras se originaron a partir de la versión de LockBit Linux/ESXi observada anteriormente.
Si bien algunas muestras, como la variante de macOS, requieren una configuración adicional y no están firmadas correctamente, es evidente que LockBit está probando activamente su ransomware en varias plataformas, lo que indica una expansión inminente de los ataques. Este desarrollo subraya la necesidad urgente de medidas robustas de ciberseguridad en todas las plataformas y una mayor conciencia dentro de la comunidad empresarial.
